今日頭條
官方微信
官方抖音
資訊頻道
1 工業(yè)控制系統(tǒng)信息安全趨勢
隨著工業(yè)控制系統(tǒng)的通用化、網(wǎng)絡化、智能化發(fā)展,工業(yè)控制系統(tǒng)信息安全形勢日漸嚴峻。一方面,傳統(tǒng)的互聯(lián)網(wǎng)信息安全威脅正在向工業(yè)控制系統(tǒng)蔓延,另一方面,針對關(guān)鍵基礎設施及其控制系統(tǒng),以竊取敏感信息和破壞關(guān)鍵基礎設施運行為主要目的的攻擊愈演愈烈。主要原因是工業(yè)控制系統(tǒng)建設時更多的是考慮各自系統(tǒng)的可用性,并沒有充分考慮系統(tǒng)之間互聯(lián)互通的信息安全風險和防護建設,使得國際國內(nèi)針對工業(yè)控制系統(tǒng)的攻擊事件層出不窮。“震網(wǎng)”病毒事件為全球工業(yè)控制系統(tǒng)安全問題敲響了警鐘,促使國家和社會逐漸重視工業(yè)控制系統(tǒng)的信息安全問題。
2010年以前,全球工業(yè)安全事件發(fā)生頻率還較少,但這個數(shù)據(jù)在2010年以后急劇上升。據(jù)權(quán)威工業(yè)安全事件信息庫RISI統(tǒng)計,截止到2013年10 月,全球已發(fā)生300余起針對工業(yè)控制系統(tǒng)的攻擊事件,而且,這個數(shù)據(jù)還在不斷刷新。這說明黑客針對工業(yè)控制系統(tǒng)的關(guān)注度在不斷提升,嚴重威脅著生產(chǎn)安全。
全球各地不斷發(fā)生的工控信息安全事件給我們3個啟示:一是黑客技術(shù)高超,制造的病毒不易被發(fā)現(xiàn);二是針對工控系統(tǒng)的攻擊不是個人所為,而是團伙作案;三是針對工控系統(tǒng)的攻擊除了個人獲利因素外,更重要的是帶有敵對思想和很強的政治色彩。
因此,如果對工控系統(tǒng)沒有嚴格的管控措施,在敵對勢力發(fā)動網(wǎng)絡攻擊,或是潛藏在工控系統(tǒng)中的木馬病毒發(fā)生作用時,其后果堪比一場戰(zhàn)爭帶來的災難。目前,我國工控領(lǐng)域的法律規(guī)范和國家安全標準相對欠缺,也沒有嚴格的市場準入制度,國家對國產(chǎn)工控設備的產(chǎn)業(yè)支持力度還有待加強。這種局面必須得到徹底改觀,否則,國家安全、人民的安康都將籠罩在工控系統(tǒng)安全風險的陰霾之中。
近年來,國家非常重視工業(yè)控制系統(tǒng)信息安全問題,已經(jīng)把安全問題提升到與發(fā)展同等的高度來看待。中共中央總書記、國家主席、中央軍委主席、中央網(wǎng)絡安全和信息化領(lǐng)導小組組長習近平2014年2月27日下午主持召開中央網(wǎng)絡安全和信息化領(lǐng)導小組第一次會議并發(fā)表重要講話。會議中,習總書記指出,沒有網(wǎng)絡安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。
工業(yè)和信息化部2011年9月發(fā)布《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》([2011]451號),通知明確了工業(yè)控制系統(tǒng)信息安全管理的組織領(lǐng)導、技術(shù)保障、規(guī)章制度等方面的要求,并在工業(yè)控制系統(tǒng)的連接、組網(wǎng)、配置、設備選擇與升級、數(shù)據(jù)、應急管理等六個方面提出了具體要求。
2012年6月28號國務院《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見(國發(fā)[2012]23號》中明確要求:保障工業(yè)控制系統(tǒng)安全;重點保障對可能危及生命和公共財產(chǎn)安全的工業(yè)控制系統(tǒng)。
國家發(fā)改委從2011年開始開展工業(yè)控制系統(tǒng)信息安全專項,涉及到面向現(xiàn)場設備環(huán)境的邊界安全專用網(wǎng)關(guān)產(chǎn)品、面向集散控制系統(tǒng)(DCS)的異常監(jiān)測產(chǎn)品、面向SCADA系統(tǒng)的安全采集遠程終端單元(RTU)產(chǎn)品以及工業(yè)應用軟件漏洞掃描產(chǎn)品等產(chǎn)業(yè)化項目。在電力電網(wǎng)、石油石化、先進制造、軌道交通等領(lǐng)域,支持大型重點骨干企業(yè),按照信息安全等級保護相關(guān)要求,開展工業(yè)控制系統(tǒng)信息安全建設的試點示范。
目前已頒布了如下標準:
GB/T 26333-2010《工業(yè)控制網(wǎng)絡安全風險評估規(guī)范》;
GB/T 30976.1-2014-工業(yè)控制系統(tǒng)信息安全 第1部分:評估規(guī)范;
GB/T 30976.2-2014-工業(yè)控制系統(tǒng)信息安全 第2部分:驗收規(guī)范;
此外,《工業(yè)控制系統(tǒng)信息安全等級保護設計技術(shù)指南(草稿)》、《工業(yè)控制系統(tǒng)信息安全等級保護基本要求(草稿)》正在編寫過程中。
《集散控制系統(tǒng)(DCS)安全防護標準》正在征求意見中。
在工控安全建設方面走在前列的電力行業(yè)早些年已經(jīng)在生產(chǎn)系統(tǒng)中建立了相關(guān)規(guī)范,如《電力二次系統(tǒng)安防護規(guī)定》(電監(jiān)會5號令)、《電力二次系統(tǒng)安全防護總體方案》(電監(jiān)會全34號文)等,發(fā)改委14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》。
公安部、經(jīng)信委等也在不斷對影響國計民生的公共系統(tǒng)進行滲透檢查,發(fā)現(xiàn)了眾多問題。
2 工業(yè)控制系統(tǒng)信息安全建設思路
目前,工業(yè)控制系統(tǒng)信息安全建設思路是以風險管理為核心,通過了解自身工業(yè)控制系統(tǒng)信息安全風險,并
通過合適的管理和技術(shù)措施對這些風險進行控制,達到企業(yè)工控系統(tǒng)信息安全風險可控的目標。風險管理是指如何在一個肯定有風險的環(huán)境里把風險減至最低的管理過程。風險管理包括對風險的量度、評估和應變策略。
眾所周知,工業(yè)控制系統(tǒng)信息安全風險和事件不可能完全避免,沒有絕對的安全。信息安全本身是高技術(shù)的對抗,有別于傳統(tǒng)安全,呈現(xiàn)擴散速度快、難控制等特點。因此,管理工業(yè)控制系統(tǒng)信息安全必須以風險管理的方式,關(guān)鍵在于如何控制、化解和規(guī)避風險,而不是完全消除風險。好的風險管理過程可以讓企業(yè)以最具成本效益的方式運行,并且使已知的風險維持在可接受的水平。好的風險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級,更好地管理風險,而不是將寶貴的資源用于解決所有可能的風險。
風險,通俗講是指不幸事件發(fā)生的概率。影響風險的發(fā)生與兩個因素密不可分,即弱點和威脅。也就是說,要做到風險可控,就必須非常清楚地了解自身的弱點和威脅源,通過對自身弱點進行加固,并有效阻止威脅源的入侵來實現(xiàn)風險可控。
2.1 工業(yè)控制系統(tǒng)面臨的主要威脅
(1)外部攻擊的發(fā)展
工業(yè)控制系統(tǒng)采用大量的IT技術(shù),互聯(lián)性逐步加強,神秘的面紗逐步被揭開,工業(yè)控制信息安全日益進入黑客的研究范圍,國內(nèi)外大型的信息安全交流會議已經(jīng)把工業(yè)控制信息安全作為一個重要的討論議題。隨著黑客的攻擊技術(shù)不斷進步,攻擊的手段日趨多樣,對于他們來說,入侵到某個系統(tǒng),成功破壞其完整性是很有可能的。例如近幾年的震網(wǎng)、duqu、火焰、havex等病毒攻擊證明黑客開始對工控系統(tǒng)感興趣。
(2)內(nèi)部威脅的加劇
根據(jù)FBI和CSI對484家公司進行的網(wǎng)絡安全專項調(diào)查結(jié)果顯示,超過70%的安全威脅來自公司內(nèi)部,在損失金額上,由于內(nèi)部人員泄密導致了6056.5萬美元的損失,是黑客造成損失的16倍,是病毒造成損失的12倍。另據(jù)中國國家信息安全測評中心調(diào)查,信息安全的現(xiàn)實威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪,而非病毒和外來黑客。
工業(yè)控制系統(tǒng)普遍缺乏網(wǎng)絡準入和控制機制,上位機與下位機通訊缺乏身份鑒別和認證機制,只要能夠從協(xié)議層面跟下位機建立連接,即可以對下位機進行修改,普遍缺乏對系統(tǒng)最高權(quán)限的限制,高權(quán)限賬號往往掌握著數(shù)據(jù)庫和業(yè)務系統(tǒng)的命脈,任何一個操作都可能導致數(shù)據(jù)的修改和泄露。并且缺乏事后追查的有效工具,也讓責任劃分和威脅追蹤變得更加困難。
(3)應用軟件的威脅
設備提供商提供的應用授權(quán)版本不可能十全十美,各種各樣的后門、漏洞等問題都有可能出現(xiàn)。出于成本的考慮,工業(yè)控制系統(tǒng)的組態(tài)軟件一般與其工控系統(tǒng)是同一家公司的產(chǎn)品,在測試節(jié)點問題容易隱藏,且組態(tài)軟件的不成熟也會為系統(tǒng)帶來威脅。
(4)第三方維護人員的威脅
第三方維護人員的威脅。工業(yè)控制系統(tǒng)建設在發(fā)展的過程中,因為戰(zhàn)略定位和人力等諸多原因,越來越多的會將非核心業(yè)務外包給設備商。如何有效地管控設備廠商和運維人員的操作行為,并進行嚴格的審計是系統(tǒng)運營面臨的一個關(guān)鍵問題。
(5)多種病毒的泛濫
病毒可通過移動存儲設備、外來運維的電腦,無線系統(tǒng)等進入工控系統(tǒng),當病毒侵入網(wǎng)絡后,自動收集有用信息,如關(guān)鍵業(yè)務指令、網(wǎng)絡中傳輸?shù)拿魑目诹畹龋蚴翘綔y網(wǎng)內(nèi)計算機的漏洞,向網(wǎng)內(nèi)計算機傳播病毒。由于病毒在網(wǎng)絡中大規(guī)模的傳播與復制,極大地消耗網(wǎng)絡資源,嚴重時有可能造成網(wǎng)絡擁塞、網(wǎng)絡風暴甚至網(wǎng)絡癱瘓,這是影響工業(yè)控制系統(tǒng)網(wǎng)絡安全的主要因素之一。
2.2 工業(yè)控制系統(tǒng)自身弱點按管理和技術(shù)的分類
(1)信息安全管理方面脆弱性
·組織結(jié)構(gòu)人員職責不完善,缺乏專業(yè)人員。大部分行業(yè)未設置工控系統(tǒng)信息安全管理部門,未明確建設運維相關(guān)部門的安全職責和技能要求。同時普遍缺乏信息安全人才。
·信息安全管理制度流程欠完善。現(xiàn)在大部分行業(yè)還未形成完整的政策制度保障信息安全,缺乏工業(yè)控制系統(tǒng)規(guī)劃、建設、運維、廢止全生命周期的信息安全需求和設計管理,欠缺配套的管理體系、處理流程、人員責任等規(guī)定。
·應急響應機制欠健全,需進一步提高信息安全事件的應對能力。由于響應機制不夠健全,缺乏應急響應組織和標準化的事件處理流程,發(fā)生信息安全事件后人員通常依靠經(jīng)驗判斷安全事件發(fā)生的設備和影響范圍,逐一進行排查,響應能力不高。
·人員信息安全培訓不足,技術(shù)和管理能力以及人員安全意識有待提高。大部分行業(yè)有針對工控系統(tǒng)的業(yè)務培訓,但是面向全員的信息安全意識宣傳,信息安全技術(shù)和管理培訓均比較薄弱,需加強信息安全體系化宣傳和培訓。
·尚需完善第三方人員管理體制。大部分的行業(yè)會將設備建設運維工作外包給設備商或集成商,尤其針對國外廠商,業(yè)主不了解工控設備技術(shù)細節(jié),對于所有的運維操作無控制、無審計,留有安全隱患。
(2)信息安全技術(shù)方面脆弱性
·未進行安全域劃分,區(qū)域間未設置訪問控制措施。隨著工控系統(tǒng)的集成度越來越高,呈現(xiàn)統(tǒng)一管理、集中監(jiān)控的趨勢,系統(tǒng)的互聯(lián)程度大大提高。但是大部分行業(yè)的工控系統(tǒng)各子系統(tǒng)之間沒進行安全分區(qū),系統(tǒng)邊界不清楚,邊界訪問控制策略缺失等。
·缺少信息安全風險監(jiān)控技術(shù),不能及時發(fā)現(xiàn)信息安全問題,出現(xiàn)問題后靠人員經(jīng)驗排查。在工控網(wǎng)絡上普遍缺少信息安全監(jiān)控機制,不能及時了解網(wǎng)絡狀況,一旦發(fā)生問題不能及時確定問題所在,及時排查到故障點,排查過程耗費大量人力成本、時間成本。
·系統(tǒng)運行后,操作站和服務器很少打補丁,存在系統(tǒng)漏洞,系統(tǒng)安全配置較薄弱,防病毒軟件安裝不全面。大部分行業(yè)工控系統(tǒng)投產(chǎn)后,對操作系統(tǒng)極少升級,而操作系統(tǒng)會不斷曝出漏洞,導致操作站和服務器暴露在風險中。系統(tǒng)自身的安全策略未啟用或配置薄弱。防病毒軟件的安裝不全面,即使安裝后也不及時更新防惡意代碼軟件版本和惡意代碼庫。
·工程師站缺少身份認證和接入控制,且權(quán)限很大。有些行業(yè)工程師站登陸過程缺少身份認證,且工程師站對操作站、控制器等進行組態(tài)時均缺乏身份認證,存在任意工程師站可以對操作站、現(xiàn)場設備直接組態(tài)的可能性。
·存在使用移動存儲介質(zhì)不規(guī)范問題,易引入病毒以及黑客攻擊程序。在工控系統(tǒng)運維和使用過程中,存在隨意使用U盤、光盤、移動硬盤等移動存儲介質(zhì)現(xiàn)象,有可能傳染病毒、木馬等威脅生產(chǎn)系統(tǒng)。
·第三方人員運維生產(chǎn)系統(tǒng)無審計措施。出現(xiàn)問題后無法及時準確定位問題原因、影響范圍及追究責任。
·上線前未進行信息安全測試。一些行業(yè)工控系統(tǒng)在上線前未進行安全性測試,系統(tǒng)在上線后存在大量安全風險漏洞,安全配置薄弱,甚至有的系統(tǒng)帶毒工作。
·無線通信安全性不足。一些行業(yè)工控系統(tǒng)中大量使用無線網(wǎng)絡,在帶來方便的同時,隨之而來的是無線網(wǎng)絡安全方面的威脅。其中包括未授權(quán)用戶的非法接入、非法AP欺騙生產(chǎn)設備接入、數(shù)據(jù)在傳輸過程中被監(jiān)聽竊取、基于無線的入侵行為等。
通過開展工控信息安全風險評估工作,能夠詳細分析出上述威脅和弱點產(chǎn)生原因和安全風險防御的方法,再選擇合適的管理措施和技術(shù)措施進行加固,從而實現(xiàn)工控信息安全風險可控。
3 工業(yè)控制系統(tǒng)信息安全解決方案
啟明星辰工業(yè)控制系統(tǒng)信息安全解決方案,以工業(yè)控制信息安全管理系統(tǒng)為核心,以旁路檢測、串聯(lián)防護、現(xiàn)場防護三大引擎為支撐,全面實現(xiàn)全網(wǎng)工控設備的統(tǒng)一安全監(jiān)測和防護,安全風險集中分析和展現(xiàn)。輔助以貫穿工業(yè)控制系統(tǒng)需求、設計、建設、運營、廢除全生命周期的工控安全風險評估平臺,實現(xiàn)信息安全風險的動態(tài)管理。工控信息安全防護體系如圖1所示。
圖1 工業(yè)控制信息安全管理系統(tǒng)
啟明星辰工控信息安全解決方案主要特點:一是縱深防御,集防護、監(jiān)測、管理于一體;二是基于全生命周期管理,即工控系統(tǒng)軟件開發(fā)全生命周期管理、攻擊過程全生命周期管理。
3.1 縱深防御,集防護、監(jiān)測、管理于一體
啟明星辰縱深防御思想,主要體現(xiàn)在保證系統(tǒng)可用性前提下,對工業(yè)控制系統(tǒng)進行防護,實現(xiàn)“垂直分層,水平分區(qū);邊界控制,內(nèi)部監(jiān)測;集中展現(xiàn)”。
“垂直分層、水平分區(qū)”,即按照工業(yè)控制系統(tǒng)的層次結(jié)構(gòu),垂直方向化分為四層:現(xiàn)場設備層、現(xiàn)場控制層、監(jiān)督控制層、生產(chǎn)管理層。水平分區(qū)指各工業(yè)控制系統(tǒng)之間應該從網(wǎng)絡上隔離開,處于不同的安全區(qū)。
“邊界控制,內(nèi)部監(jiān)測”,即對系統(tǒng)邊界,即各操作站、工業(yè)控制系統(tǒng)連接處、無線網(wǎng)絡等要進行邊界防護和準入控制等。對工業(yè)控制系統(tǒng)內(nèi)部要監(jiān)測網(wǎng)絡流量數(shù)據(jù)以發(fā)現(xiàn)入侵、業(yè)務異常、訪問關(guān)系異常和流量異常等問題。
“集中展現(xiàn)”,即對工控系統(tǒng)中可能涉及的各類設備,包括工業(yè)防火墻、防病毒系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、操作員站、工程師站、適時數(shù)據(jù)庫、歷史數(shù)據(jù)庫、PLC、路由器、交換機等,進行統(tǒng)一采集和識別這些設備產(chǎn)生的安全事件和告警信息、日志信息等,并通過多維度可視化的界面進行綜合展示,使監(jiān)控人員一站式的查詢檢索安全及威脅信息,了解安全態(tài)勢,指導企業(yè)進行工控系統(tǒng)信息安全建設。
系統(tǒng)面臨的主要安全威脅來自于黑客攻擊、惡意代碼(病毒蠕蟲)、越權(quán)訪問(非授權(quán)接入)、移動介質(zhì)、弱口令、操作系統(tǒng)漏洞、誤操作和業(yè)務異常等,因此,其安全防護應在以下方面予以重點完善和強化。
·入侵檢測及防御;
·惡意代碼防護;
·內(nèi)部網(wǎng)絡異常行為的檢測;
·邊界訪問控制和系統(tǒng)訪問控制策略;
·工業(yè)控制系統(tǒng)開發(fā)與維護的安全;
·身份認證和行為審計;
·賬號唯一性和口令安全,尤其是管理員賬號和口令的管理;
·操作站操作系統(tǒng)安全;
·移動存儲介質(zhì)的標記、權(quán)限控制和審計;
·設備物理安全。
結(jié)合工業(yè)控制系統(tǒng)信息安全防護思路,將典型工業(yè)控制系統(tǒng)分為四層,即生產(chǎn)管理層、監(jiān)督控制層、現(xiàn)場控制層、現(xiàn)場設備層。每一個工業(yè)控制系統(tǒng)應單獨劃分在一個區(qū)域里。
生產(chǎn)管理層主要是生產(chǎn)調(diào)度,詳細生產(chǎn)流程,可靠性保證和站點范圍內(nèi)的控制優(yōu)化相關(guān)的系統(tǒng)。
監(jiān)督控制層包括了監(jiān)督和控制實際生產(chǎn)過程的相關(guān)系統(tǒng)。包括如下設備:
·人機界面HMI,操作員站,負責組態(tài)的工程師站等;
·報警服務器及報警處理;
·監(jiān)督控制功能;
·實時數(shù)據(jù)收集與歷史數(shù)據(jù)庫,用于連接的服務器客戶機等。
現(xiàn)場控制層是對來自現(xiàn)場設備層的傳感器所采集的數(shù)據(jù)進行操作,執(zhí)行控制算法,輸出到執(zhí)行器(如控制閥門等)執(zhí)行,該層通過現(xiàn)場總線或?qū)崟r網(wǎng)絡與現(xiàn)場設備層的傳感器和執(zhí)行器形成控制回路。該層控制功能可以是連續(xù)控制、順序控制、批量控制和離散控制等類型。設備包括但不限于如下所示:
·DCS控制器;
·可編程邏輯控制器PLC;
·遠程終端單元RTU。
現(xiàn)場設備層對生產(chǎn)設施的現(xiàn)場設備進行數(shù)據(jù)采集和輸出操作的功能,包括所有連在現(xiàn)場總線或?qū)崟r網(wǎng)絡的傳感器(模擬量和開關(guān)量輸入)和執(zhí)行器(模擬量和開關(guān)量輸出)。
對單一工業(yè)控制系統(tǒng)的網(wǎng)絡安全域劃分如圖2所示。
圖2 單一工業(yè)控制系統(tǒng)的網(wǎng)絡安全域
根據(jù)“邊界控制,內(nèi)部監(jiān)測,集中展現(xiàn)”的防護思路,典型的工業(yè)控制網(wǎng)絡安全防護如圖3所示。
圖3 典型的工業(yè)控制網(wǎng)絡安全防護
通過工業(yè)控制信息安全管理系統(tǒng)對整個工業(yè)控制系統(tǒng)內(nèi)的各個子系統(tǒng)和安全設備進行統(tǒng)一安全監(jiān)控和管理。對工業(yè)控制現(xiàn)場控制設備、信息安全設備、網(wǎng)絡設備、服務器、操作站等進行統(tǒng)一資產(chǎn)管理,并對各設備的信息安全監(jiān)控和報警、信息安全日志信息進行集中管理。根據(jù)安全審計策略對各類安全信息進行分類管理與查詢,系統(tǒng)對各類信息安全報警和日志信息進行關(guān)聯(lián)分析,展現(xiàn)全網(wǎng)的安全風險分布和趨勢。
防護類措施如下:
(1)在區(qū)域邊界處部署工業(yè)防火墻設備,實現(xiàn)IP/端口的訪問控制、應用層協(xié)議訪問控制、流量控制等。或者部署網(wǎng)閘設備,切斷網(wǎng)絡鏈路層鏈接,完成兩個網(wǎng)絡的數(shù)據(jù)交換。
(2)在操作站、工程師站部署操作站安全系統(tǒng)實現(xiàn)移動存儲介質(zhì)使用的管理、軟件黑白名單管理、聯(lián)網(wǎng)控制、網(wǎng)絡準入控制、安全配置管理等。
(3)現(xiàn)場運維審計與管理系統(tǒng)是手持移動設備,運維人員運維現(xiàn)場設備時,先接入審計系統(tǒng),再連接現(xiàn)場設備。審計系統(tǒng)可審計運維操作命令、運維工具使用錄像等,亦可進行防病毒、訪問控制等安全防護。
(4)WiFi入侵檢測與防護設備是放在基于WiFi組網(wǎng)的現(xiàn)場設備網(wǎng)絡中,可實現(xiàn)非法AP阻斷,非法外來設備接入生產(chǎn)網(wǎng)絡,基于WiFi的入侵檢測等。
監(jiān)控檢查類措施如下:
(1)在工業(yè)以太網(wǎng)交換機上部署工控異常監(jiān)測系統(tǒng),監(jiān)測工業(yè)控制系統(tǒng)內(nèi)部入侵行為,異常操作行為,發(fā)現(xiàn)異常流量和異常訪問關(guān)系等。
(2)部署工控漏洞掃描系統(tǒng),在系統(tǒng)檢修、停機或新系統(tǒng)上線時進行漏洞掃描,對漏洞進行修補。
(3)部署安全配置基線核查系統(tǒng),在系統(tǒng)檢修、停機或新系統(tǒng)上線時進行配置基線檢查,重點關(guān)注操作站、工程師站、服務器等開放的服務,賬號密碼策略、協(xié)議的安全配置等問題,對風險進行安全加固。
縱深防御的工控信息安全防護體系是建立在整體工業(yè)控制網(wǎng)絡各個關(guān)鍵環(huán)節(jié)的基礎之上,能夠有效發(fā)現(xiàn)、防護、監(jiān)測和審計網(wǎng)絡安全活動,對企業(yè)工控系統(tǒng)正常生產(chǎn)運行起到了非常關(guān)鍵的作用。但是對于工控系統(tǒng)本身而言,系統(tǒng)自身存在的安全缺陷卻容易被威脅利用,從根本上解決這類問題還需要從軟件開發(fā)全生命周期管理來盡可能地實現(xiàn)軟件本身的安全性。
3.2 基于全生命周期管理
3.2.1 工業(yè)控制系統(tǒng)軟件開發(fā)全生命周期管理
工業(yè)控制系統(tǒng)開發(fā)商在需求、設計、編碼、測試、上線、運行和持續(xù)完善的各個階段,存在的主要問題是重功能實現(xiàn),輕安全功能,這樣就造成了工業(yè)控制系統(tǒng)本身存在許多可以被威脅利用的漏洞,從而產(chǎn)生工控信息安全風險。
下面通過說明應用程序設計風險、編碼缺陷與配置缺陷來重點闡述工業(yè)控制系統(tǒng)應用程序的安全風險。
(1)工業(yè)控制系統(tǒng)應用程序設計風險
·設計復雜,沒有達到簡單性與附加安全特征間的平衡。在系統(tǒng)中通過少數(shù)的瓶頸點實現(xiàn)安全關(guān)鍵的操作,運用少量的、復雜的、多功能軟件組件操作,在多個安全級別,在不需要時調(diào)用了組件的安全功能。
過多的用戶接口與輸出,沒有確保用戶接口僅包含需要的功能,設計接口沒有考慮是否會被用戶繞過。沒有集中向下寫到一個程序,沒有做程序信息流的分析。
·設計層次沒有防御概念,在系統(tǒng)中僅有很少的安全層次,當一個層次被破壞的情況下,不能有效地阻止安全違背行為。沒有一系列的防御層,使得一個單層被滲透的情況下能夠造成整個系統(tǒng)被破壞的可能性。如表1所示,隨著防御機制的增強,攻擊者需要偷取數(shù)據(jù)所花費的代價也相應加大。
·用戶與應用數(shù)據(jù)的驗證,沒有考察所有的潛在區(qū)域,有可能通過這些區(qū)域,不可信的信息輸入進入應用程序,沒有驗證通過應用程序的任意數(shù)值,沒有檢查接收的數(shù)值是否是允許的數(shù)據(jù)類型或格式。
·沒有限制特權(quán),允許不必要的特權(quán)給應用和功能,可能會潛在地導致未授權(quán)的信息進入敏感區(qū)域。特權(quán)沒有給予時間限制,沒有實現(xiàn)角色概念,實現(xiàn)不同的角色關(guān)聯(lián)不同的特權(quán)。
·信任開源軟件,使用前沒有進行評估。目前由于使用開源軟件帶來的問題遠遠高于商業(yè)軟件,所以這也是導致應用系統(tǒng)風險的重要因素之一。
·無失效保護。應用系統(tǒng)沒有考慮失效保護問題,通常攻擊者會等待他們期待的系統(tǒng)失效類型,進而來挖掘系統(tǒng)的脆弱性,比如說系統(tǒng)失效時是否允許訪問,是否恢復到安全狀態(tài)等。
·無敏感信息保護。對應用系統(tǒng)來說阻止訪問敏感信息是非常重要的,以防止信息泄露。這方面的設計通常需要注意:當敏感信息不再使用時沒有立即刪除;加密密鑰沒有存儲在安全區(qū)域;沒有運用CRC或SHA算法進行完整性保護;沒有關(guān)閉調(diào)試代碼,從而導致應用系統(tǒng)的關(guān)鍵信息對外部接口是開放的。
·沒有安全的保護網(wǎng)絡接口,應用系統(tǒng)的進出點沒有很好的定義、文檔化,網(wǎng)絡端口在通信完成后還處于激活狀態(tài),通信發(fā)生時沒有相應的審計與日志。
(2)工業(yè)控制系統(tǒng)編碼缺陷
工業(yè)控制系統(tǒng)編碼缺陷包括如下幾個方面:
·未驗證的輸入。比如緩沖區(qū)溢出、整形溢出、注入缺陷(命令、SQL、LDAP)等。
·數(shù)據(jù)保護或存儲失效。在安全存儲數(shù)據(jù)時,需要考慮:需要訪問數(shù)據(jù)的權(quán)限;數(shù)據(jù)加密問題;存儲密鑰的威脅。
·不正確的錯誤處理。通常包含幾個方面:不能處理一個錯誤的條件;程序停留在一個不安全的狀態(tài);由拒絕服務導致應用程序死掉。
·信息泄露。通常導致信息泄露的主要方式有兩種:一種是無意的,比如由于代碼或非顯而易見的通道問題導致有價值的信息輸出,或由于代碼中的注釋或冗長的錯誤信息導致;另一種是故意的,比如沒有適當?shù)谋Wo機密信息。防止信息泄露需要深入理解黑客通常所用的技術(shù)與方法,以及對他們有用的信息類型。
·競爭條件。指的是應用系統(tǒng)如果采用多任務的方式,需要考慮系統(tǒng)資源的管理,需要考慮不同任務的優(yōu)先級,任務的調(diào)度機制,內(nèi)存的分配,避免任務間的死鎖等情況。
·惡意代碼。有意地插入代碼以破壞應用的安全性,通常能夠隱藏在調(diào)試軟件、加載程序、時間炸彈、特洛伊木馬等程序中。
(3)工業(yè)控制系統(tǒng)配置缺陷
工業(yè)控制系統(tǒng)配置缺陷通常是由于沒有好的配置管理導致,沒有建立一個專門的配置管理團隊負責不同項目配置管理分支的創(chuàng)建、更改、撤銷與維護。沒有設置不同的配置管理級別,以禁止對配置項目未授權(quán)的更改,比如說禁止測試人員在開發(fā)分支上更改代碼。另外,好的配置管理禁止開發(fā)與測試人員刪除配置項,只允許添加,對測試文檔,測試過程中使用的任何工具都需要在配置管理中進行維護。
工控系統(tǒng)本身的健壯性對工業(yè)生產(chǎn)起到?jīng)Q定性的作用,只有工控系統(tǒng)軟件在需求、設計、編碼、測試、上線、運行和不斷完善的各個階段在考慮功能實現(xiàn)的同時,充分考慮安全功能需求,才能加強工控系統(tǒng)本身的健壯性,避免漏洞被威脅利用。
北京市公安局海淀分局備案號:11010802023656號